第二章内部控制的框架体系课件

1、公司治理与内部控制第三章 内部控制的框架体系（内部控制要素）第一节 内部控制要素第二节 内部环境第三节 风险评估第四节 控制活动第五节 信息与沟通第六节 内部监督我国企业内部控制基本规范第三条指出：“本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”并规范了基于企业全面风险管理导向的内部控制系统五要素。3.1 内部控制要素根据系统论、控制论和信息论的思想，我国企业内部控制基本规范把企业内部控制系统划分为相互关联的5个要素，以充分发挥内部控制的“免疫”功能。企业设计基于全面风险管理导向的内部控制系统时必须体现5个要素的要求。3.1 内部控制要素我国企业

2、内部控制基本规范第五条指出：企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 3.1 内部控制要素（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实

3、施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。 五要素及其相互关系 监控控制活动风险评估控制环境信息沟通信息沟通基础手段保证载体依据五要素与八要素比较图八要素与五要素之间的对应关系内部环境目标制定事项识别风险评估风险反应控制活动信息与沟通监控内部环境风险评估控制活动信息与沟通监控3.2 要素一：内部环境我国企业内部控制基本规范第二章第十一条至第十九条明确了内部环境的具体内容。3.2 要素一：内部环境一、公司治理结构和议事规则企业内部控制基本规范第十一条指出：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责

4、权限，形成科学有效的职责分工和制衡机制。股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。 3.2 要素一：内部环境董事会对股东（大）会负责，依法行使企业的经营决策权。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。 3.2 要素一：内部环境同时，第十二条指出：董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组

5、织协调内部控制的建立实施及日常工作。 3.2 要素一：内部环境【解读】公司治理结构的要旨在于明确划分股东、董事会和经理人员各自权利、责任和利益，形成三者之间的制衡关系。以国外现代公司为例，其公司治理结构是现代法人产权制度下的产物，其基本特征是：（1）内部机构权责分明，相互制衡（“三权分立，相互制衡 ”）。（2）委托与代理，纵向授权。 （3）激励与约束机制并存。 3.2 要素一：内部环境二、审计委员会企业内部控制基本规范第十三条指出：企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应

6、当具备相应的独立性、良好的职业操守和专业胜任能力。 3.2 要素一：内部环境三、内部机构设置、岗位职责、业务流程企业内部控制基本规范第十四条指出：企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。 3.2 要素一：内部环境四、内部审计企业内部控制基本规范第十五条指出：企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺

7、陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。 3.2 要素一：内部环境五、人力资源政策企业内部控制基本规范第十六条指出：企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：（一）员工的聘用、培训、辞退与辞职。 （二）员工的薪酬、考核、晋升与奖惩。 （三）关键岗位员工的强制休假制度和定期岗位轮换制度。 3.2 要素一：内部环境（四）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 （五）有关人力资源管理的其他政策。六、职业道德修养和专业胜任能力 企业内部控制基本规范第十七条指出：企业应

8、当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。 3.2 要素一：内部环境七、企业文化、价值观和社会责任感企业内部控制基本规范第十八条指出：企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。 企业员工应当遵守员工行为守则，认真履行岗位职责。 3.2 要素一：内部环境八、法制观念企业内部控制基本规范第十九条指出： 企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观

9、念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。 【注】关于内部环境类内部控制应用指引 内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。内部环境类指引有5项，包括： 企业内部控制应用指引第1号：组织架构企业内部控制应用指引第2号：发展战略企业内部控制应用指引第3号：人力资源企业内部控制应用指引第4号：社会责任企业内部控制应用指引第5号：企业文化3.3 要素二：风险评估我国企业内部控制基本规范第三章第二十条至第二十七条明确了风险评估的具体内容。3.3 要素二：风险评估企业内部控制基本

10、规范第二十条指出：企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。一、风险识别 企业内部控制基本规范第二十一条指出：企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。 3.3 要素二：风险评估（一）风险的本质风险是未来结果对期望的偏离，即波动性。任何偏离控制目标的因素（有利或不利）都是风险的表现，这与金融投资普遍以收益率方差（或标准差）作为风险计量指标的主流分析框架相符。3.3 要素二：风险评估（二）风险的分类为了有效识别和管理风

11、险，有必要对企业所面临的风险进行明确分类。根据不同的分类标准可以将风险划分为不同的类型。可见，设立期望目标是风险评估的前提条件，只有先确立了目标，管理层才能针对目标确定风险并采取必要的行动来管理风险。3.3 要素二：风险评估1.按风险诱发的原因分类按诱发风险的原因，巴塞尔委员会将风险划分为八大类：（1）信用风险，是指债务人或交易对手未能履行合同所规定的义务或信用质量发生变化，影响金融产品价值，从而给债权人或金融产品持有人造成经济损失的风险。信用风险被认为是最为复杂的风险种类，通常包括违约风险、结算风险等主要形式。 3.3 要素二：风险评估（2）市场风险，是指由于市场价格（包括金融资产价格和商品

12、价格）波动而导致企业遭受损失的风险。它可以分为利率风险、股票风险、汇率风险和商品风险四种，其中利率风险尤为重要。 3.3 要素二：风险评估（3） 操作风险，是指由于人为错误、技术缺陷或不利的外部事件所造成损失的风险。操作风险可以分为由人员、系统、流程和外部事件所引发的四类风险，并由此可以分为七种表现形式：内部欺诈，外部欺诈，聘用员工做法和工作场所安全性，客户、产品及业务做法，实物资产损坏，业务中断和系统失灵，交割及流程管理。操作风险具有普遍性和非营利性。 3.3 要素二：风险评估（4）流动性风险，是指企业无力为负债的减少或资产的增加提供融资而造成损失或破产的风险。流动性风险包括资产流动性风险和

13、负债流动性风险。流动性风险与信用风险、市场风险和操作风险相比，形成的原因更加复杂和广泛，通常被视为一种综合性风险。 （5）国家风险，是指经济主体在与非本国居民进行国际经贸与金融往来时，由于别国经济、政治和社会等方面的变化而遭受损失的风险。3.3 要素二：风险评估（6）声誉风险，是指由于意外事件，企业的政策调整、市场表现或日常经营活动所产生的负面结果，可能对企业“声誉”这种无形资产造成损失的风险。（7）法律风险，即企业在日常经营活动或各类交易发生的过程中，因为无法满足或违反法律要求，导致企业不能履行合同、发生争议诉讼或其他法律纠纷，而可能给企业造成经济损失的风险。3.3 要素二：风险评估（8）战

14、略风险，是指企业在追求短期商业目的和长期发展目标的系统化管理过程中，不适当的未来发展规划和战略决策可能威胁企业未来发展的潜在风险。美国货币监理署（OCC）认为，战略风险是指经营决策错误，或决策执行不当，或对行业变化束手无策，而对企业的收益或资本形成现实和长远的影响。3.3 要素二：风险评估2.风险的其他分类（1）按风险事故可以将风险划分为：经济风险、政治风险、社会风险，自然风险和技术风险；（2）按损失结果可以将风险划分为：纯粹风险和投机风险；（3）按是否能够量化可以将风险划分为：可量化风险和不可量化风险；3.3 要素二：风险评估（4）按风险发生的范围可以将风险划分为：系统性风险和非系统性风险。

15、 （5）按风险的可预见性可以将风险划分为：预期风险、非预期风险、意外风险。预期风险与非预期风险之间最重要的概念性区别是：预期风险是在一般正常情况下，在一定时期可预见的平均水平；非预期风险具有突发性、复杂性、持续可变性、多层次性、模糊性等特点。3.3 要素二：风险评估（三）风险识别的内外部因素企业内部控制基本规范第二十二条指出，企业识别内部风险，应当关注下列因素：（1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（2）组织机构、经营方式、资产管理、业务流程等管理因素。3.3 要素二：风险评估（3）研究开发、技术投入、信息技术运用等自主创新因素。（4）财务状况、经

16、营成果、现金流量等财务因素。（5）营运安全、员工健康、环境保护等安全环保因素。（6）其他有关内部风险因素。 3.3 要素二：风险评估企业内部控制基本规范第二十三条指出， 企业识别外部风险，应当关注下列因素：（1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（2）法律法规、监管要求等法律因素。（3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（4）技术进步、工艺改进等科学技术因素。（5）自然灾害、环境状况等自然环境因素。（6）其他有关外部风险因素。 3.3 要素二：风险评估（四）风险识别的分析框架不确定性的来源环境风险：影响经营模式变动的不确定性。过程风险：影响

17、经营模式实施的不确定性。决策所需信息风险：影响作出价值创造决策所需信息的可信性与可靠性的风险。3.3 要素二：风险评估环境风险因素，包括：（1）竞争对手风险（2）客户风险（3）技术创新风险（4）敏感性风险（5）股东关系风险（6）资本可得性风险（7）主权政治风险（8）法律风险（9）监管风险（10）行业风险（11）金融市场风险（12）灾难风险3.3 要素二：风险评估过程风险因素，包括：1.操作风险，如：（1）客户满意度风险（2）人力资源风险 （3 ）知识资本风险（4）产品开发风险（5）效率风险（6）能力风险（7）业绩缺口风险（8）周转时间风险（9）来源风险（10）渠道效率风险（11）合作伙伴风险（

18、12）服从（监管机构或其他要求）风险（13）业务中断风险（14）产品或服务失败风险（15）环境风险（16）健康与安全风险（17）商标品牌侵权风险3.3 要素二：风险评估2.金融风险，如：（1）价格风险，包括利率风险、汇率外汇风险、权益风险、商品价格风险、金融工具风险。（2）流动性风险，包括现金流风险、机会成本风险、集中度风险。（3）信用风险，包括违约风险、集中度风险、结算风险、抵押风险。3.3 要素二：风险评估3.授权风险，如：（1）领导风险（2）权力限制风险（3）浪费风险（4）业绩激励风险（5）适应变化风险（6）沟通风险3.3 要素二：风险评估4.信息过程技术风险，如：（1）相关性风险（2）

19、完整性风险（3）评估风险（4）可得性风险（5）基础设施风险3.3 要素二：风险评估5.诚实性风险，如：（1）管理欺诈风险（2）雇员第三方欺诈风险（3）非法行为风险（4）违规行为风险（5）信誉风险3.3 要素二：风险评估决策所需信息风险因素，包括：1.决策所需过程操作性信息风险，如：（1）产品服务定价风险（2）合同履行风险（3）度量（操作）风险（4）协调性风险3.3 要素二：风险评估2.决策所需商务报告信息风险，如：（1）预算与计划风险（2）会计信息风险（3）财务报告评估风险（4）税收风险（5）退休金风险（6）投资评估风险（7）监管报告风险3.3 要素二：风险评估3.决策所需环境战略风险，如：（

20、1）环境监控风险（2）经营模式风险（3）业务组合风险（4）估价风险（5）组织结构风险（6）度量（战略）风险（7）资源配置风险（8）计划风险（9）生命周期风险3.3 要素二：风险评估（五）风险偏好与风险容忍度进行风险评估，首先应该判明公司可以承受的风险有多大，即首先需明确公司的风险容忍度，又称为风险承受度，是公司能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。从战略层面看，风险控制的重点是确定风险偏好及相应的风险容忍度。风险容忍度和风险偏好都是公司为自己承受风险的能力设定的控制边界。 3.3 要素二：风险评估根据COSO委员会的定义，风险偏好是公司决策层综合考虑多种风险因素后

21、作出的一种更高层次的承诺，而风险容忍度是考虑到风险状况的不断变化，而为每一个具体的风险因素设定的量化的可接受水平。公司根据统一确定的风险偏好，针对不同业务特点设定相应的容忍度水平，明确风险的最低限度和不能超过的最高限度，并据此设置风险预警线以及相应的对策安排。 风险偏好与风险容忍度的关系图 战略控制目标风险偏好风险容忍度 信用风险 市场风险风险限额体系 操作风险 流动性风险 其他风险3.3 要素二：风险评估（六）风险识别的技术与方法风险评估的首要步骤是识别明显的、潜在的风险事件，估计这些风险可能造成的损失。制作风险清单是识别风险的最基本、最常用的方法。风险识别方法还有：专家调查列举法 ； 财务

22、状况分析法 ；情景分析法 ； 分解分析法 ；失误树分析方法 ； CART风险分类法。 3.3 要素二：风险评估例如，CART风险分类法，是依据选定的几项财务比率作为风险分类的标准，运用二分法，通过建立树型结构来分析被考察对象特定财务信用品质的方法。对公司的风险识别，CART法采用四个财务比率作为分类标准：现金流量对负债总额比率；留存收益对资产总额比率；负债总额对资产总额比率；现金对销售总额比率。 CART风险分类：级分类标准违约组被考虑对象总体现金流量对负债总额的比率级分类标准：小于或等于临界值组大于临界值组临界值临界值负债总额对资产比率非违约组临界值临界值进入级分类标准进入级分类标准：违约组

23、小于或等于临界值组留存收益对资产总额比率级分类标准：违约组大于临界值组临界值临界值现金对销售总额比率非违约组级分类标准：临界值临界值3.3 要素二：风险评估（七）识别财务风险应重点关注的因素（1）无法偿还到期债务；（2）无法偿还即将到期且难以展期的借款；（3）无法继续履行重大借款合同中的有关条款；（4）存在大额的逾期未缴税金； （5）累计经营性亏损数额巨大；（6）过度依赖短期借款筹资；3.3 要素二：风险评估（7）无法获得供应商的正常商业信用【注】运用以下指标识别：应付账款周转次数年度营业成本应付账款平均余额；应付账款周转期（天数）365天应付账款周转次数平均偿还期【案例分析】背景：应付账款管

24、理不善导致供应链断裂，公司破产。郑州亚细亚破产案3.3 要素二：风险评估（8）难以获得开发必要新产品或进行必要投资所需资金；（9）资不抵债；（10） 营运资金出现负数；（11）经营活动产生的现金流量净额为负数；（12）大股东长期占用巨额资金；（13）重要子公司无法持续经营且未进行处理； 3.3 要素二：风险评估（14）存在大量长期未作处理的不良资产；（15）存在因对外巨额担保等或有事项引发的或有负债。 （八）识别非财务风险应重点关注的因素。包括：（1）关键管理人员离职且无人替代；（2）主导产品不符合国家产业政策，或者没有市场销路，产品严重积压；3.3 要素二：风险评估（3）失去主要市场、特许权

25、或主要供应商；（4）人力资源或重要原材料短缺；（5）严重违反有关法律、法规或政策；（6） 存在可能带来无法承受损失的未决诉讼；（7）异常原因导致停工、停产；（8）有关法律、法规或政策的变化可能造成重大不利影响；3.3 要素二：风险评估（9） 经营期限即将到期且无意继续经营；（10）投资者未履行协议、合同、章程规定的义务，并有可能造成重大不利影响；（11）因自然灾害、战争等不可抗力因素遭受严重损失；（12）其他导致经营状况恶化的情况。3.3 要素二：风险评估二、风险评估企业内部控制基本规范第二十四条指出，企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析

26、和排序，确定关注重点和优先控制的风险。 企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性 3.3 要素二：风险评估【提示】风险评估方法包括定性方法和定性与定量相结合的方法。主要借助概率论和数理统计等方法来测定公司的风险程度。目前，风险评估模型有以方差、标准差、平均绝对偏差，久期（Duration）、调整久期、有效久期 ，系数 ，风险价值（VaR ），内部评级，敏感度分析，压力测试法等为代表的数千种风险评估数理模型。 3.3 要素二：风险评估三、风险应对企业内部控制基本规范第二十五条指出： 企业应当根据风险分析的结果，结合风险承受度，

27、权衡风险与收益，确定风险应对策略。 企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。 3.3 要素二：风险评估企业内部控制基本规范第二十六条指出：企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。 风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。 风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。 3.3 要素二：风险评估风险分担是企业准备借助他人

28、力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。 风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。企业内部控制基本规范第二十七条指出：企业应当结合不同发展阶段和业务拓展情况，持续收集与风险变化相关的信息，进行风险识别和风险分析，及时调整风险应对策略。 3.3 要素二：风险评估【提示】常见的风险应对措施利弊分析（一）风险回避是一项有意识地避免某种特定风险的决策，直接采取措施回避风险，或者不去做可能导致风险的事情，从而避免某种风险的发生以及由此带来的损失。3.3 要素二：风险评估用风险回避手段来处理风险比

29、较简单，也比较彻底，但是有三点限制：（1）有时消极回避风险也意味着放弃利益；（2）回避一种风险的同时有可能产生其他新的风险；（3）有些风险是无法回避的。3.3 要素二：风险评估（二）风险控制是在面对潜在风险时，为降低损失的可能性或严重性而在损失发生之前或之后采取相应的行动。在损失发生之前，消减风险发生的条件，降低风险发生概率；在损失发生之后，采取有效措施，将风险可能造成的损失减少到最低限度。3.3 要素二：风险评估风险控制是一种预防为主的风险管理手段，预防是需要付出成本的。进行风险控制付出的成本，与风险损失相比较，孰大孰小成为是否采取这一方法的决定性因素。3.3 要素二：风险评估（三）风险保留

30、指自身承担风险和损失，是一种自保险。一般在三种情况下采用：（1）没有足够重视，没有察觉到该类风险，主要原因在于对某一事件观察和分析不够全面，忽略了某些作用因素；（2）察觉到风险但是没有较好的方法来处理风险，一般是风险回避或者控制的成本过高，或者没有办法找到理想的处理方法；（3）认为自己可以承担该类风险。3.3 要素二：风险评估（四）风险分散是指设法将风险分散到相关的多个个体上去，从而使每一个个体所承担的风险相对减少的方法。常说“不要把鸡蛋全部放在同一个篮子里”，就是用分散风险的理念来管理风险。 这种管理方式，最常用于投资理财的组合选择中，分散投资意味着持有多种风险资产，而不是将所有的资金集中于

31、一项资产。采用分散投资的资产组合投资策略，降低了人们拥有任何单一资产所面临的风险 。3.3 要素二：风险评估（五）风险转移是将风险及其可能造成的损失转移给别人的风险管理手段，一般来说有两大类方法：（1）非保险类转移是通过订立经济合同，将风险及可能损失转移给别人，常见的主要有租赁、互换、套期保值等。3.3 要素二：风险评估（2）保险类转移是通过订立保险合同将风险转移给保险公司（保险人），具体讲就是投保人按照合同规定缴纳保费，将风险和可能的损失转移给保险公司，一旦发生预期的、投保的风险，就由保险公司进行经济赔偿。【注】并不是所有风险都可以通过风险转移手段来处理，只有符合一定条件的可保风险才可转移。

32、一般来讲投机风险是不可以投保的，比如购买股票的收益风险，保险公司不承保。3.3 要素二：风险评估【测试】说明以下风险应对行为是遵循何种风险应对措施？经营小百货店，而不愿经营小专卖店。在银行存放56个月的工资，以备意外开支。注册会计师为自已购买职业保险。要求房产商书面承诺，对新购置的房产质量负责。购买了一个半吨重的保险柜。3.3 要素二：风险评估愿意购买基金，不愿购买股票。害怕家里的现金被盗，把现金分放在三个房间的隐蔽处 。每天早起锻炼，以减少医疗开支。重要的文件寄挂号信，而不寄平信。注重家庭资产持有结构的合理性。3.4 要素三：控制活动我国企业内部控制基本规范第四章第二十八条至第三十七条明确了

33、控制活动的具体内容。3.4 要素三：控制活动企业内部控制基本规范第二十八条指出：企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。 3.4 要素三：控制活动【解读1】人工控制与自动化控制（一）人工控制在处理下列需要主观判断或酌情处理的情形时可能更为适当：（1）存在大额、异常或偶发的交易；（2）存在难以定义、防范或预见的错误；（3）为应对情况的变化，需要对现有的自动化控制进行调整（如信息系统升级

34、时，原系统停止运行，只能依靠手工控制）；（4）监督自动化控制的有效性。3.4 要素三：控制活动人工控制的特定风险：（1）人工控制可能更容易被规避、忽视或凌驾；（2）人工控制可能不具有一贯性；（3）人工控制可能更容易产生简单的错误或失误（相对于自动控制，人工控制的可靠性较差）。3.4 要素三：控制活动人工控制在下列情形中可能是不适当的：（1）存在大量或重复发生的交易；（2）事先可预见的错误能够通过自动化控制得以防范或发现；（3）控制活动可得到适当设计和自动化处理。3.4 要素三：控制活动（二）自动化控制在下列方面可以提高内部控制系统的效率和效果：（1）在处理大量的交易或数据时，一贯运用事先确定的

35、业务规则，并进行复杂运算；（2）提高信息及时性、可获得性及准确性；（3）加强对公司政策和程序执行情况的监督；（4）降低控制被规避的风险；（5）通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。3.4 要素三：控制活动自动化控制的特定风险：（1）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（2）在未得到授权的情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未授权或不存在的交易，或不正确地记录了交易；（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；3.4 要素三：控制活动（4）未经授权改

36、变主文档的数据；（5）未经授权改变系统或程序；（6）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；（8）数据丢失的风险或不能访问所需要的数据。3.4 要素三：控制活动（三）在设计内部控制系统时，应合理选择自动化控制方式和人工控制方式，在不同公司的内部控制系统中人工控制和自动化控制的比例是不同的。例如，在一些小型的业务不太复杂的公司，可能以人工控制为主；而在业务比较复杂的大中型公司，可能以自动化控制为主。3.4 要素三：控制活动【解读2】预防性控制与检查性控制（一）预防性控制通常用于正常业务流程的每一项交易，以防止风险的发生。预防性控制可能是人工的，也可能是自动化的。3.4 要素三：控

37、制活动（二）检查性控制的目的是发现流程中可能发生的风险（尽管有预防性控制还是会发生的风险）。企业通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是企业管理层用来监督实现流程目标的控制，可以由人工执行，也可以由信息系统自动执行。预防性控制示例对控制的描述控制用来防止的错报生成收货报告的计算机程序，同时也更新采购档案防止出现购货漏记账的情况在更新采购档案之前必须先有收货报告防止记录了未收到购货的情况购货发票上的价格根据价格清单上的信息确定防止销货计价错误检查性控制示例对控制的描述控制预期查出的错报将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有

38、超过预算2的差异情况和解决措施。在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目。3.4 要素三：控制活动一、不相容职务分离控制企业内部控制基本规范第二十九条指出：不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。 3.4 要素三：控制活动二、授权审批控制企业内部控制基本规范第三十条指出：授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的

39、范围、权限、程序和责任，严格控制特别授权。常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是指企业在特殊情况、特定条件下进行的授权。3.4 要素三：控制活动企业各级管理人员应当在授权范围内行使职权和承担责任。 企业对于重大的业务和事项，应当实行集体决策审批或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。3.4 要素三：控制活动三、会计系统控制企业内部控制基本规范第三十一条指出：会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。 企业应当依法设置会计机构，配备会计从业

40、人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。 大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。 3.4 要素三：控制活动四、财产保护控制企业内部控制基本规范第三十二条指出：财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。 3.4 要素三：控制活动五、预算控制企业内部控制基本规范第三十三条指出：预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达

41、和执行程序，强化预算约束。【解读】现代企业的全面预算控制是以责任制为核心，以预算、预警、控制、考核、激励为主线，以核算为基础。 3.4 要素三：控制活动全面预算控制系统的主体框架图责任制核算预警控制考核激励预算3.4 要素三：控制活动六、营运分析控制企业内部控制基本规范第三十四条指出：运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。 3.4 要素三：控制活动七、绩效考评控制企业内部控制基本规范第三十五条指出：绩效考评控制要求企业建立和实施绩

42、效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。3.4 要素三：控制活动【解读】绩效考评控制导向模式第一种模式：规模最大化考核模式。缺陷：（1）没有考虑规模成长的成本（包括机会成本）；（2）没有考虑规模成长承担的风险因素。3.4 要素三：控制活动第二种模式：会计利润最大化考核模式。缺陷：没有考虑资本金的时间价值；没有考虑风险因素；容易造成经营上的短期行为。3.4 要素三：控制活动第三种模式：可持续经营和价值最大化考核模式，即在风险可承受范围内实现风险、收益与发展的合理匹配。公司

43、整体价值=财务资本价值+人力资本价值+制度资本价值（业务流程内控制度、治理结构等）+客户资本价值（误差）。3.4 要素三：控制活动企业内部控制基本规范第三十六条指出：企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制 。企业内部控制基本规范第三十七条指出：企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。 【注】关于控制活动类内部控制应用指引企业在改进和完善内部环境控制的同时，还应对各项具体业务活动实施相应的控制。为此，制定了9项控

44、制活动类应用指引，包括：企业内部控制应用指引第6号：资金活动 企业内部控制应用指引第7号：采购业务 企业内部控制应用指引第8号：资产管理 企业内部控制应用指引第9号：销售业务 【注】关于控制活动类内部控制应用指引企业内部控制应用指引第10号：研究与开发企业内部控制应用指引第11号：工程项目 企业内部控制应用指引第12号：担保业务企业内部控制应用指引第13号：业务外包企业内部控制应用指引第14号：财务报告 3.5 要素四：信息与沟通我国企业内部控制基本规范第五章第三十八条至第四十三条明确了信息与沟通的具体内容。3.5 要素四：信息与沟通企业内部控制基本规范第三十八条指出：企业应当建立信息与沟通制

45、度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。一、信息收集方法与技术企业内部控制基本规范第三十九条指出：企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。3.5 要素四：信息与沟通企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息 。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。3.5 要素四：信息与沟通二、信息处理方法与技术 企业内部控制基本规范第四十条指出：企业应当将内部控制相关信息在企业内部各管

46、理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。 3.5 要素四：信息与沟通三、信息沟通方法与技术企业内部控制基本规范第四十一条指出：企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。 3.5 要素四：信息与沟通四、反舞弊机制的建立企业内部控制基本规范第四十二条指出：企业

47、应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。3.5 要素四：信息与沟通企业至少应当将下列情形作为反舞弊工作的重点： （一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。 3.5 要素四：信息与沟通五、举报投诉制度和举报人保护制度企业内部控制基本规范第四十三条指出：企业应当建立举报投诉制度和举报人保护制

48、度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。 举报投诉制度和举报人保护制度应当及时传达至全体员工。 3.6 要素五：内部监督我国企业内部控制基本规范第六章第四十四条至第四十七条明确了内部监督的具体内容。3.6 要素五：内部监督企业内部控制基本规范第四十四条指出：企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。3.6 要素五：内部监督一、日常监督与专项监督第四十四条第二款指出：内部监督分为日常监督和专项监督。日常监督是

49、指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。3.6 要素五：内部监督二、内部控制缺陷认定与整改 企业内部控制基本规范第四十五条指出：企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。 3.6 要素五：内部监督三、内部控制自我评价企业内部控制基本规范第四十六条指出：企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价